Управление компьютерами (включая WOA), которые приносят с собой сотрудники предприятия
🕛 01.06.2012, 16:05
Поскольку все больше и больше людей предпочитают работать на личном оборудовании и подход "возьми с собой свой компьютер" становится все более распространенным, ИТ-специалисты хотят быть уверены, что смогут поддержать следующих данным тенденциям клиентов. Однако даже при реализации подхода "возьми с собой свой компьютер" ИТ-специалистам все равно нужно управлять сетевыми активами организации, обеспечивать их безопасность и отчитываться за их состояние, и всем нам известно, что все это можно осуществить только с помощью запрограммированных политик. В данной статье основное внимание уделено управлению компьютерами WOA (Windows на ARM), которые разрабатываются с учетом тенденции "консьюмеризации ИТ". Компьютеры всех форм-факторов, основанные на архитектуре x86/64, предоставляют доступ к полному набору средств управления, особенно таких, которые выполняются в системе на базе кода стороннего разработчика. Поскольку компьютеры WOA поддерживают использование кода сторонних разработчиков только через приложения, полученные из Магазина Windows и основанные на WinRT, мы поставили перед собой цель создать передовые средства управления для поддержки компьютеров WOA, предоставляемых компанией или используемых в рамках подхода "возьми с собой свой компьютер". Эту статью написал Джефри Сазерленд (Jeffrey Sutherland), старший руководитель программы в рабочей группе Management Systems.
-- Стивен
Одной из основных тенденций в сфере ИТ за последние годы стал переход к "консьюмеризации ИТ". Это понятие обозначает процесс "проникновения" потребительских технологий — от телефонов до компьютеров — в коммерческие организации. Причем этот процесс может принимать самые различные формы. Здесь важно то, что владеют такими устройствами и несут за них ответственность сотрудники, а не организация, в которой они работают. Эта тенденция сильнее всего проявилась в категории смартфонов, но с недавнего времени она распространилась и на планшетные ПК и другие виды портативных компьютеров, которые все чаще можно увидеть на рабочих местах. По мере того как организация все больше ориентируется на потребителя, ИТ-специалистам следует задуматься о том, насколько подконтрольным для них будет персональное устройство пользователя и какой уровень управления можно принять в качестве достаточного. Эти вопросы ставили перед собой и мы еще в самом начале работы над Windows 8, в особенности при разработке Windows для архитектуры процессоров ARM. Основная задача заключалась в том, чтобы найти способ и дальше предоставлять пользователям компьютеры и необходимое программное обеспечение, например приложения и средства доступа к данным на любом устройстве, при достаточном уровне контроля со стороны ИТ-специалистов, который обеспечивал бы защиту устройств и одновременно не нарушал конфиденциальность пользователей на их персональных устройствах.
В одной из предыдущих статей Стивена, посвященной Windows на ARM (или WOA), он рассказал, что значительная часть функциональных возможностей Windows на ARM была унаследована от архитектуры x86/64 и два этих продукта имеют достаточно большой объем одинакового кода. Таким образом, хотя данная статья посвящена WOA, многие из рассматриваемых возможностей в равной степени характерны для обеих архитектур процессоров. Кроме того, в этой статье рассматриваю��ся возможности самого компьютера, а не всей инфраструктуры управления или применяемых ИТ-специалистами средств. Не забывайте обо всех встроенных в Windows возможностях обеспечения безопасности, которые несет с собой WOA, эти возможности распространяются на все аспекты работы — от базовых сетевых функций до шифрования дисков. Бизнес-приложения и клиент управления WOA
Потребность в доступе к бизнес-приложениям, на которые пользователи полагаются во время работы, — от электронной почты до лицензированного программного обеспечения и от решений независимого поставщика программного обеспечения до внутренних разработок ИТ-отдела — является одним из самых важных стимулов для применения "потребительских" устройств на предприятии. Мы уверены, что разработчики поймут, насколько просто и удобно создавать элегантные приложения в стиле Metro, автоматически работающие в любой системе Windows 8, включая WOA. И разработчики бизнес-приложений не будут исключением. Но многие организации хотят непосредственно контролировать доступ к внутренним бизнес-приложениям, включая распространение двоичных файлов приложений для установки. Для таких предприятий публикация бизнес-приложений в Магазине Windows не подходит, так как у них нет причин для предоставления приложений другим людям или для управления развертыванием приложений посредством процедуры, принятой в Магазине Windows. Для обеспечения доступа к таким ресурсам и предоставляемым ими данным ИТ-специалисты должны быть уверены, что системы соответствуют действующим требованиям по безопасности и защите данных.
В течение долгого времени организации работали с приложениями на компьютерах архитектуры x86/64, применяя для этого различные средства и методы, включая продукты для управления, такие как System Center Configuration Manager и Windows Intune. Для управления бизнес-приложениями в стиле Metro на компьютерах x86/64 можно будет использовать те же самые средства и методы. Единственное требование заключается в том, что клиент необходимо настраивать на доверие к приложениям, получаемым не из Магазина Windows. Подробнее о базовых возможностях добавления и удаления приложений в стиле Metro на компьютерах архитектуры x86/64 можно прочитать в статье Добавление и удаление приложений. Разработка WOA дала нам уникальную возможность определить способ для предоставления бизнес-приложений пользователям, который бы обеспечивал соблюдение требований ИТ-специалистов и позволял бы гарантировать согласованное и надежное комплексное взаимодействие в течение всего срока службы компьютера.
Для WOA мы интегрировали новый клиент управления, который может взаимодействовать с инфраструктурой управления в облаке для предоставления бизнес-приложений пользователям. Позднее наши друзья подробнее расскажут об этой инфраструктуре управления в блоге о System Center, поэтому в данной статье мы подробнее остановимся на преимуществах и возможностях самого клиента управления WOA.
Фактически клиент управления WOA состоит из двух частей: встроенного системного компонента, который мы будем называть агентом, и приложения в стиле Metro, которое мы будем называть порталом самообслуживания или сокращенно SSP и которое будет использоваться пользователями для просмотра и установки предоставленных им бизнес-приложений. Обе эти части клиента управления WOA представляют собой высококачественные образцы приложений Windows 8 с точки зрения взаимодействия с пользователем, управления питанием (времени работы батареи), службы сведений о подключенных сетях (для сетей с лимитным тарифным планом) и общих функциональных возможностей.
Основную часть наиболее сложной работы клиента берет на себя агент. Он настраивает клиент для взаимодействия с инфраструктурой управления организации и периодически синхронизируется с инфраструктурой управления для проверки наличия обновленных бизнес-приложений и для применения наиболее актуальных политик параметров, настроенных ИТ-специалистами для соответствующего устройства. Он также обеспечивает загрузку и установку любых бизнес-приложений, которые пользователь хочет установить. Наконец, если пользователь или администратор решает удалить устройство из инфраструктуры управления, агент удаляет свою конфигурацию и отключает все бизнес-приложения, установленные с портала самообслуживания. Подключение к инфраструктуре управления
Давайте рассмотрим некоторые из этих аспектов более подробно, начиная с подключения клиента к инфраструктуре управления. На самом деле эта процедура начинается с ИТ-администратора — он задает группу пользователей домена Active Directory, которым разрешено подключать устройства к данной службе. Администратор также может задать максимально допустимое количество устройств для одного пользователя. Для указанных пользователей процедура подключения устройства довольно проста. Используя новое приложение панели управления на устройстве WOA, пользователи указывают адрес электронной почты своей компании и пароль, как если бы они настраивали учетную запись электронной почты Exchange. После этого агент выполняет поиск службы, чтобы найти инфраструктуру управления организации по адресу электронной почты пользователя.
Подключение к инфраструктуре управления осуществляется так же просто, как и ввод адреса электронной почты компании и пароля
Когда агент находит правильный адрес, он устанавливает безопасное подключение к инфраструктуре управления, используя для пользователя SSL-проверку подлинности сервера. Если пользователь успешно прошел проверку и имеет назначенные администратором права на подключение устройств, служба выдает пользователю, инициировавшему подключение, сертификат пользователя. Этот сертификат отправляется обратно агенту вместе с корневым сертификатом организации и инструкциями, чтобы он мог настроить непрерывное взаимодействие с инфраструктурой управления. Все это происходит в считанные секунды и обычно не требует вмешательства пользователя. После выполнения данной процедуры пользователю предлагается установить портал самообслуживания, в то время как агент завершает установку соединения в фоновом режиме.
Завершение подключения
Далее агент автоматически открывает сеанс связи с инфраструктурой управления, используя сертификат пользователя для проверки подлинности. Этот сеанс и все последующие сеансы реализуются с использованием взаимной проверки подлинности SSL для обеспечения безопасности соединения. Этот начальный сеанс завершает регистрацию устройства в службе, передавая базовую информацию об этом устройстве, такую как тип и модель, версия ОС, возможности устройства и другие сведения об оборудовании. Это позволяет ИТ-администраторам отслеживать, какие типы устройств подключаются к сети организации, и постепенно улучшать предоставляемые пользователям приложения и службы.
После начального сеанса агент связывается с инфраструктурой управления в двух случаях: Во-первых, при ежедневном выполнении задачи по обслуживанию, время запуска которой пользователь может настроить в клиенте. Операции, выполняемые в рамках этих сеансов обслуживания, по большей части заключаются в отправке обновленной информации об оборудовании в инфраструктуру управления, применении изменений в политиках параметров для устройств, отправке в инфраструктуру управления сведений о соответствии нормативным требованиям, а также в применении обновлений для бизнес-приложений или в повторном выполнении установок бизнес-приложений, которые ранее завершились со сбоем. Во-вторых, агент взаимодействует с инфраструктурой управления каждый раз, когда пользователь начинает установку приложения из портала самообслуживания. Такие открытые пользователем сеансы предназначены исключительно для установки приложений и не связаны с выполнением операций обслуживания и управления из первой ситуации.
Независимо от того, открыт ли сеанс автоматически для выполнения запланированной задачи по обслуживанию или вручную пользователем, клиент управления WOA продолжает корректно учитывать уровень заряда батареи устройства и текущие условия сетевого подключения. Управление политиками параметров
Как мы уже обсуждали, для доступа к бизнес-приложениям обычно требуется, чтобы системы соответствовали базовым политикам безопасности и защиты данных. Для инфраструктуры управления ИТ-администратор может настроить набор политик, которые, по нашему мнению, предоставляют ИТ-специалистам необходимые гарантии и при этом не оказывают серьезного негативного влияния на взаимодействие пользователей с их устройствами. Эти политики включают в себя следующее: Реализация удобного входа Максимальное число неудачных попыток ввода пароля Максимальное время блокировки при бездействии Минимальный уровень сложности символов пароля устройства Минимальная длина пароля Включение защиты паролем Срок действия пароля Журнал паролей
Наш новый клиент управления WOA одновременно может подключаться только к одной инфраструктуре управления, однако перед выпуском Windows 8 мы можем принять решение о добавлении других источников политик, поэтому мы разработали систему политик таким образом, чтобы она поддерживала данную возможность. В случае использования для одного устройства Windows 8 нескольких политик они объединяются и для каждой из них выбирается конфигурация с наиболее строгими ограничениями. Такая итоговая политика применяется к каждому пользователю с правами администратора на устройстве Windows 8 и к каждому обычному пользователю с настроенной учетной записью Exchange. На обычных пользователей без учетной записи Exchange эта политика не распространяется, однако для них Windows 8 уже ограничивает возможность доступа к данным в профилях других пользователей и в привилегированных расположениях, в результате чего обеспечивается автоматическая защита ваших корпоративных данных.
Кроме описанных выше настраиваемых политик, с помощью агента можно выполнять автоматическую настройку профиля VPN для пользователя, чтобы обеспечить простое подключение устройств WOA к корпоративной сети без вмешательства пользователя. Наконец, агент может отслеживать и регистрировать соответствие устройств WOA нормативным требованиям по следующим показателям: Состояние шифрования дисков Состояние автоматического обновления Состояние антивирусной защиты Состояние защиты от шпионского ПО
Имея в своем распоряжении такие данные о соответствии, ИТ-администраторы могут эффективнее управлять доступом к корпоративным ресурсам, если с устройством связан определенный риск. Еще раз отметим, что при этом базовые функции взаимодействия пользователя с устройством не затрагиваются и сохраняется личная конфиденциальность пользователей.
Прежде чем продолжить, давайте рассмотрим несколько описанных ранее политик и оценим их фактическое влияние на систему Windows 8. Сначала обратимся к политике реализации удобного входа. Windows 8 предоставляет пользователям возможности удобного входа, такие как биометрический вход или вход с помощью графического пароля. Эти компоненты способствуют поддержанию высокого уровня безопасности для устройств Windows 8 и позволяют устранить одну из самых существенных причин для беспокойства пользователей и ИТ-специалистов, заключающуюся в утере пароля. Хотя для подготовки к внедрению этих альтернативных методов входа некоторым организациям может потребоваться дополнительное время, параметр "[Allow Convenience Logon] (Разрешить удобный вход)" позволяет ИТ-специалистам управлять тем, когда такие процедуры входа могут использоваться в организации.
Теперь давайте рассмотрим совместную работу шифрования диска и ограничения максимального числа неудачных попыток ввода пароля. Возможно, вам известны случаи, когда человек брал свой смартфон и обнаруживал, что все данные на нем стерты, так как, играя со смартфоном, маленький ребенок несколько раз ввел неправильный пароль. К счастью, с вашими устройствами Windows 8 такое никогда не случится. Даже в базовой комплектации операционная система Windows 8 обеспечивает эффективную защиту данных. Когда пользователь превышает пороговое значение для попыток ввода пароля, Windows просто криптографически блокирует доступ ко всем зашифрованным томам и перезапускает устройство в режиме агента восстановления Windows 8. Если вы потеряли устройство или его украли, такая мера эффективно предотвращает считывание сохраненных на нем данных. Если же просто вышло так, что ваш маленький ребенок захотел поиграть в Angry Birds на заблокированном устройстве, вы можете быстро выполнить восстановление с помощью ключа восстановления, который Windows 8 может автоматически сохранять от вашего лица в учетной записи SkyDrive. В этом случае вы можете восстановить работоспособное состояние устройства без длительной переустановки всех приложений и повторного копирования всех необходимых данных. Управление бизнес-приложениями
Понятно, что рассмотренные выше возможности больше касаются механики клиента и инфраструктуры управления и потребностей ИТ-администратора, однако итоговое преимущество этого решения заключается в предоставлении пользователям доступа к их бизнес-приложениям. Без такого преимущества у пользователей нет достаточных оснований для использования корпоративной инфраструктуры управления. Поэтому давайте рассмотрим предоставление бизнес-приложения на платформе WOA более подробно.
В предыдущей статье о WOA мы отметили, что "покупатели получают все программное обеспечение... через Магазин Windows и Центр обновления Майкрософт или Центр обновления Windows". Теперь мы добавляем для платформы WOA четвертый доверенный источник программного обеспечения — клиент управления WOA. Как уже упоминалось, приложение в стиле Metro портала самообслуживания (SSP) предоставляет корпоративному пользователю интерфейс для повседневного доступа к инфраструктуре управления. В нем пользователи могут просматривать бизнес-приложения, предоставленные им ИТ-администратором. Существует четыре разных типа приложений, которые ИТ-специалисты могут опубликовать для пользователей на портале самообслуживания: Приложения в стиле Metro, которые разработаны внутри компании и не опубликованы в Магазине Windows. Приложения, разработанные независимыми поставщиками программного обеспечения и предоставляемые организации по лицензии для внутреннего использования. Веб-ссылки, позволяющие запускать веб-сайты и веб-приложения прямо в браузере. Ссылки на описание приложений в Магазине Windows. Это удобный способ, с помощью которого ИТ-специалисты могут оповещать пользователей о полезных общедоступных бизнес-приложениях.
Поскольку пользователь указывает свои корпоративные учетные данные во время начального подключения к инфраструктуре управления, ИТ-администратор может задавать публикуемые приложения для каждого пользователя в отдельности на основании учетной записи в домене Active Directory или членства в группах пользователей Active Directory. В результате пользователь видит только те приложения, которые назначены ему на портале самообслуживания.
Обзор бизнес-приложений на портале самообслуживания для вымышленной компании Woodgrove ПРИМЕЧАНИЕ. На этом снимке экрана показан предварительный прототип портала самообслуживания, который может существенно отличаться от конечного продукта.
Перед предоставлением бизнес-приложений через инфраструктуру управления в клиенте выполняются две операции. Во-первых, инфраструктура управления выдает ключ активации, который применяется к устройству WOA, чтобы разрешить клиенту установку приложений. Во-вторых, необходимо добавить все сертификаты, используемые для входа в бизнес-приложения, в ��ранилище сертификатов на устройстве. В большинстве случаев и ключ активации, и корневые сертификаты применяются автоматически в рамках первого сеанса после установки соединения с инфраструктурой управления. В противном случае они автоматически развертываются во время одного из последующих сеансов, когда ИТ-администратор включит данную функцию в инфраструктуре управления.
Когда пользователь решает установить приложение с портала самообслуживания, направляется запрос в инфраструктуру управления, после чего агенту предоставляется ссылка на загрузку. Затем агент загружает приложение, проверяет допустимость содержимого, подпись и выполняет установку. Все это обычно занимает всего несколько секунд и происходит незаметно для пользователя. Если же на любом из этапов этого процесса возникает ошибка (например, недоступно расположение контента), агент помещает приложение в очередь, чтобы повторить попытку установки во время следующего планового сеанса регулярного обслуживания. В любом случае агент отправляет в инфраструктуру управления отчет о состоянии установки.
Страница сведений о приложении на портале самообслуживания, где пользователь может запустить установку ПРИМЕЧАНИЕ. На этом снимке экрана показан предварительный прототип портала самообслуживания, который может существенно отличаться от конечного продукта.
В рамках сеансов регулярного обслуживания агент производит инвентаризацию установленных бизнес-приложений и отправляет эти сведения в инфраструктуру управления, чтобы ИТ-администратор мог эффективно управлять бизнес-приложениями. В такую процедуру инвентаризации для устройства WOA включаются только те приложения в стиле Metro, которые были установлены с помощью портала самообслуживания и клиента управления. Приложения, установленные из Магазина Windows, в этой процедуре инвентаризации не учитываются.
Если ИТ-администратор публикует обновление для приложения, установленного на устройстве WOA, агент автоматически загружает и устанавливает это обновление в рамках следующего сеанса регулярного обслуживания. Отключение от инфраструктуры управления
Наконец, давайте рассмотрим, как отключить устройство от инфраструктуры управления. Отключение может быть выполнено локально самим пользователем или удаленно ИТ-администратором. Осуществляемое пользователем отключение похоже на начальное подключение и выполняется из той же области панели управления. Пользователи могут принять решение об отключении по разным причинам, например при увольнении из компании или в случае получения нового устройства, после чего доступ к бизнес-приложениям со старого устройства уже не требуется. Когда отключение осуществляет администратор, агент выполняет это отключение во время следующего сеанса регулярного обслуживания. Администраторы могут принять решение об отключении устройства после увольнения пользователя из компании или в том случае, если устройство регулярно нарушает требования принятой в организации политики безопасности.
При отключении агент выполняет следующие действия: Удаляет ключ активации, позволяющий агенту устанавливать бизнес-приложения. После его удаления приложения в стиле Metro, установленные через портал самообслуживания, и клиент управления, отключаются. Однако следует отметить, что, хотя автоматическое удаление приложений с устройства не производится, запуск этих приложений и установка дополнительных бизнес-приложений пользователем становятся невозможны. Удаляет все подготовленные агентом сертификаты. Прекращает действие политик параметров, примененных инфраструктурой управления. Сообщает об успешном отключении в инфраструктуру управления, если этот процесс был запущен администратором. Удаляет конфигурацию агента, включая запланированную задачу по обслуживанию. После завершения операции агент остается неактивным, пока пользователь повторно не подключит его к инфраструктуре управления. Заключение
Учитывая тенденции "консьюмеризации" ИТ и введение WOA в Windows 8, мы хотели переосмыслить способы управления системой. Мы много работали над достижением баланса между иногда противоречащими друг другу потребностями ИТ-администраторов и пользователей, применяющих устройство в своей повседневной работе. Мы считаем, что создание нового клиента управления WOA, подключающегося к инфраструктуре управления в облаке, позволило выполнить поставленные задачи, и надеемся, что вы разделите наше мнение, когда лично ознакомитесь со всеми этими возможностями на деле.
-- Джефри Сазерленд (Jeffrey Sutherland)